資通安全管理

• 對象：
  包括員工、客戶、股東和供應商，以及營運相關資訊資產。
• 範圍：
  為確保本公司之資訊安全，制定相關規章制度，並納入管理運作體系，以保障員工、客戶和供應商進行業務接洽時之營業秘密保護及資訊安全維護。

• 本公司已設置資安長及資安主管各1名，並由總經理室召集成立跨事業部資通安全管理小組，配合台塑企業資訊安全管理組織規劃，與各業務相關單位落實執行，以確認本公司資通安全管理運作之有效性。
• 本公司總經理室規劃負責制定資通安全作業辦法及管理政策，每年資通安全管理小組至少召開一次資安會議，檢討修訂管理政策及執行情形。
• 除定期召開資安會議檢討外，每年至少一次向董事會報告執行情形，最近一次提董事會報告日期為2022年6月10日。

• 確保本公司營運業務持續運作及提供資訊服務的穩定使用。
• 確保本公司所保管的資訊資產之機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)，並保障營業秘密安全。
• 為導入ISO 27001安全管理系統，自2022年3月起著手準備泰山機房驗證工作，2022年12月29日順利通過台灣檢驗科技股份有限公司(SGS)查核驗證作業，並取得ISO/IEC 27001:2013 ，效期至2025年10月31日止。

• 定期執行資訊安全宣導作業，每年辦理資訊安全教育訓練及社交工程演練，以強化員工資安意識。
• 公司重要資訊基礎設施，如資通機房等均會設置門禁管制設施，並同時設置CCTV系統，以管制並記錄人員的進出，同時確保相關資訊基礎設施的實體安全。
• 公司機房設置有防火牆(Firewall)機制來阻隔外來的入侵，且電子商務環境使用之防火牆採用雙層式防火牆架構，並每年抽檢防火牆設定規則。
• 員工資訊帳號、密碼與權限應善盡保管與使用責任，並定期換置及設定密碼複雜度需求。
• 公司電腦皆已安裝防毒軟體，且病毒碼每日更新，並禁止使用未經授權及非法軟體。
• 員工上網、電子郵件及網路安全隔離皆有建立管制及過濾機制，並具備DDoS防範、主動威脅防禦(IPS)、惡意網址過濾及進階持續性威脅攻擊防禦(APT)等功能，針對入侵攻擊主動進行阻擋，以維護網路安全。
• 為避免資料遭受破壞及勒索病毒風險，公司重要文件與資料均會進行備份，且資料存取權限都須經授權後才可進行存取。
• 為避免資料在非經許可的狀態下被他人取得，公司重要文件與資料均會以加密方式儲存，相關電腦作業與文件存取權限都須經授權後方可進行。
• 員工於外部辦公時，需透過VPN機制來存取企業網路資源，並監控是否有異常行為。
• 訂有資訊安全事件的回應及通報標準程序，針對不同資訊安全事件訂定分級處理及應對措施，以避免損害擴大。
• 全體人員應遵守法律規範與資訊安全政策要求，主管人員應督導員工落實情況，並強化資安認知及法令觀念。

• 為確保資通安全管理政策之有效性及推動落實，共召開2次會議檢討資安推動工作計畫與目標，並檢視運作情形及執行成果，以修改目標及政策與控制措施。
• 為提升全員資安意識，辦理「線上資訊安全教育訓練」，共計10,977人次參加，總時數5,489小時。
• 辦理「AEO供應鏈安全」線上教育訓練，共計3,647人次完成，受訓1,824時數小時。
• 辦理資安專人及資訊人員「資安教育訓練-資安概論暨最新駭客網路攻擊手法介紹」，共計61人次參加，總時數183小時。
• 為提升員工警覺意識，辦理員工電子郵件社交工程演練，共計3,179人次參加，員工點擊信件連結比率為9.5%。